01 ·
Verhaltensbasierter Schutz
Arbeitet auf dem Seiten-Verhalten am Ziel, nicht auf dem Zustellungskanal. Wirksam selbst dann, wenn die Nachricht SEG, Sandbox und DNS-Filter umgeht.
Modernes Phishing umgeht MFA. Der Interceptor nicht.
AiTM-Angriffe stehlen nicht nur Zugangsdaten: Sie fangen das Session-Token nach der Authentifizierung ab und machen MFA wirkungslos. Fortgale blockiert den Angriff, bevor der Benutzer mit dem bösartigen Proxy interagiert.
Fortgale · Interceptor
Aktiver Alert
AiTM-Angriff erkannt
Diese Seite verwendet einen Proxy, um Ihre Zugangsdaten und Ihr MFA-Token abzufangen. Geben Sie keine Daten ein.
hxxps://m1cr0s0ft-login[.]verify-token[.]net/aitm/...
Compliance · E-Mail-Security
NIS2-ready
DORA
ISO 27001
GDPR
Kompatibilität
Microsoft 365
Google Workspace
Entra ID
FIDO2 / TOTP
Warum es gegen AiTM funktioniert
Es agiert auf der Seite, nicht in der E-Mail.
Klassische Anti-Phishing-Lösungen greifen vor der Zustellung ein. Fortgale operiert dort, wo traditionelle Filter versagen: in dem Moment, in dem der Benutzer kurz davor ist, Zugangsdaten preiszugeben.
02 ·
MFA-proof by design
Für AiTMs konzipiert, die MFA umgehen: greift ein, bevor das Token in einem betrügerischen Kontext generiert wird, was den Diebstahl strukturell unmöglich macht.
03 ·
Null Infrastruktur-Änderungen
Keine Änderungen an DNS, Mailservern oder M365-Tenant. Geführtes Onboarding in wenigen Stunden. Kompatibel mit FIDO2, TOTP, Hardware-Keys und allen MFA-Providern.
Proof · reale Sektoren
Vier Sektoren, in denen Fortgale bereits operativ ist.
Banking
AiTM-Kampagnen
auf Financial-M365-Portale
auf Financial-M365-Portale
Shipping
BEC + AiTM
gegen Logistik-Betreiber
gegen Logistik-Betreiber
Fertigung
Spear-Phishing
auf hybride M365-Lieferketten
auf hybride M365-Lieferketten
Kritische Infra
NIS2-Betreiber
mit auditierbarem Reporting
mit auditierbarem Reporting
Anatomie eines AiTM-Angriffs
Fünf Schritte · der Interceptor blockiert ihn vor dem ersten.
Der AiTM-Proxy macht MFA nutzlos. Die einzige Verteidigung besteht darin, auf der Zielseite einzugreifen, bevor der Nutzer tippt.
01 · E-Mail
Phishing-E-Mail zugestellt
Die Phishing-E-Mail umgeht SEG, Sandbox und DNS-Filter. Sie enthält einen Link zu einem scheinbar legitimen AiTM-Proxy.
02 · Proxy
AiTM-Proxy aktiviert
Der Benutzer klickt. Der transparente Proxy (Evilginx, Modlishka, Muraena) leitet den Traffic zum echten M365-Portal weiter.
03 · Zugangsdaten
Zugangsdaten + MFA abgefangen
Der Benutzer gibt Zugangsdaten und den zweiten Faktor ein. Der Proxy fängt alles ab: Passwort und MFA-Code.
04 · Token
Session-Token gestohlen
Microsoft stellt das Session-Token aus. Der Proxy fängt es ab und verwendet es autonom weiter, indem er MFA umgeht.
05 · Block
Fortgale Interceptor
Der Interceptor erkennt den Proxy und blockiert den Benutzer vor Schritt 1. Es werden niemals Daten übertragen.
Was der Service umfasst
Sechs Säulen des AiTM-Schutzes.
01
Verhaltensbasierter Schutz
Arbeitet auf dem Verhalten der Zielseite, nicht auf dem Zustellungskanal. Wirksam selbst dann, wenn die Nachricht SEG, Sandbox und DNS-Filter umgeht.
02
MFA-proof by design
Für AiTMs konzipiert, die MFA umgehen: greift ein, bevor das Token in einem betrügerischen Kontext generiert wird, was den Diebstahl strukturell unmöglich macht.
03
Null Infrastruktur-Änderungen
Keine Änderungen an DNS, Mail-Servern oder M365-Tenant. Geführtes Onboarding in wenigen Stunden, ohne Beeinträchtigung der Benutzerproduktivität.
04
M365- + Google-Workspace-Abdeckung
Schutz sowohl für Microsoft 365 (Exchange Online, SharePoint, Teams) als auch für Google Workspace (Gmail, Drive, Meet).
05
Echtzeit-Intelligence
Powered by den Fortgale Intelligence Feed: neue AiTM-Infrastruktur, aufkommende Phishing-Kits, Lookalike-Domains in Echtzeit erkannt und blockiert.
06
Visibilität & Reporting
Zentrales Dashboard der abgefangenen Angriffe, betroffener Benutzer, Zielsektoren. CISO-Reporting mit MTTD/MTTR-Metriken und monatlichen Trends.
Integrierte Verteidigung
Der Interceptor prävenziert. Die anderen Services vervollständigen die Abdeckung.
Post-Compromise
ITDR · Identitätsschutz
360°-Identitätsschutz von on-prem AD bis Entra ID und Cloud. Detection & Response auf kompromittierte Zugangsdaten.
ITDR entdecken →Detection & Response
Managed Detection & Response
EDR/XDR, gesteuert vom europäischen SOC. Triage in <15 Min., Eindämmung ~11 Min.
MDR entdecken →Intelligence
Intelligence Feed
34k+ IoCs pro Woche · AiTM-Phishing-Domains, Evilginx-/Modlishka-Kits, C2-Infrastruktur, verteilt über STIX/TAXII.
Feed entdecken →FAQ
Alles, was Sie wissen müssen, bevor Sie den Interceptor aktivieren.
Was ist ein AiTM-Phishing-Angriff?
Adversary-in-The-Middle: ein transparenter Proxy zwischen Benutzer und legitimer Seite (M365). Fängt Zugangsdaten und MFA-Token ab und umgeht die Authentifizierung. Dominante Technik in fortgeschrittenen europäischen Kampagnen. Frameworks: Evilginx, Modlishka, Muraena.
Wie funktioniert der Fortgale-Interceptor gegen AiTM?
Erkennt in Echtzeit die charakteristischen Signale von AiTM-Proxy-Seiten und zeigt eine Warnung an, bevor Zugangsdaten eingegeben werden. Analysiert das Verhalten der Seite und der Session, nicht den Mailkanal.
Warum reicht MFA nicht gegen AiTM?
MFA schützt statische Zugangsdaten (Benutzername/Passwort), aber nicht das Session-Token, das nach der Authentifizierung ausgestellt wird. Der AiTM-Proxy erhält das gültige Token — selbst nach dem zweiten Faktor — und verwendet es autonom weiter. Der Interceptor handelt früher.
Funktioniert es auch mit Google Workspace?
Ja. AiTM-Kampagnen gegen Google wachsen in Fertigung, Logistik und professionellen Dienstleistungen. Identische Logik: eine Warnung, bevor Zugangsdaten eingegeben werden.
Wie lange dauert die Aktivierung?
Schnelles, nicht-invasives Onboarding. Keine Änderungen an Infrastruktur, Mailservern, DNS oder M365-Tenant. Aktivierung in wenigen Stunden. Reaktion des Teams innerhalb von 24 Werkstunden.
Recherche · AITM-Phishing-Kits
Wir verfolgen Phishing-Kits, die MFA umgehen.
Wir analysieren die AITM-Phishing-Kits, die im Umlauf sind — Reverse-Proxy-Infrastruktur, Token-Hijack, wiederverwendbare Kits. Operation Storming Tide und Phishing Kits Bypass MFA sind nur zwei Beispiele für die Recherche, die unsere M365-Detections speist.
Phishing Kits Bypass MFA and Hijack companies's accounts in minutes
Intelligence · Phishing Kit · Q1 2026 April 24, 2026Fortgale CTI14 min readRPT-26-0424 Observation of the quarter The 2026 phishing ecosystem has outpaced tradition…
Artikel lesen →
Investment-Targeted Phishing: How Phishing Kit Fuels Espionage in Funding Rounds
In the high-stakes world of venture capital and corporate funding, where millions hang in the balance and sensitive financial data flows freely, a new breed of cyber threat is em…
Artikel lesen →
Operation Storming Tide: A massive multi-stage intrusion campaign
In February 2026, the Fortgale Incident Response team investigated a multi-stage intrusion attributed to Mora_001, a Russian-origin threat actor exploiting Fortinet vulnerabiliti…
Artikel lesen →
Behind the Wheel: Unveiling the Supercar Phishing Kit Targeting Microsoft 365
UPDATES: 27.11.2024: As mentioned by TrustWave, "Supercar Phishing Kit" has an high level of overlapping with the most recent update of "Rockstar 2FA Phishing-as-a-Service" 26.09…
Artikel lesen →
Espionage activities targeting European businesses
In the evolving landscape of cybersecurity threats, Fortgale is tracking PhishSurf Nebula, an advanced Cyber Espionage group active since 2021 and primarily targeting entities wi…
Artikel lesen →
Nebula Broker: offensive operations made in Italy
Fortgale has been tracking an Italian Threat Actor, internally dubbed as Nebula Broker, since March 2022. The actor uses self-made malware (BrokerLoader) to compromise Italian sy…
Artikel lesen →
Starten Sie jetzt — kostenlos
Der nächste AiTM-Angriff wird bereits vorbereitet.
Der Fortgale M365 Phishing Interceptor blockiert AiTM-Phishing, bevor Zugangsdaten eingegeben werden — und bevor das Session-Token gestohlen wird. Kostenlose Aktivierung, keine Infrastruktur-Änderungen, operativ in wenigen Stunden.